Informace o bezpečnostním obsahu iOS 9

Tento dokument popisuje bezpečnostní obsah iOS 9.

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na této stránce.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

iOS 9

  • Apple Pay

    K dispozici pro: iPhone 6 a iPhone 6 Plus

    Dopad: Některé karty mohou při platbě umožňovat, aby terminál získal omezenou sadu informací o nedávných transakcích.

    Popis: V některých konfiguracích bylo zapnuté protokolování transakcí. Problém byl vyřešen odebráním funkce protokolování transakcí. Tento problém se netýkal iPadů.

    CVE-ID

    CVE-2015-5916

  • AppleKeyStore

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Místní útočník může pomocí zálohy iOS obnovit počet neúspěšných pokusů o zadání kódu.

    Popis: Existoval problém, který umožňoval obnovit pomocí zálohy iOS počet neúspěšných pokusů o zadání kódu. Problém byl vyřešen vylepšením logiky, s jakou se zpracovávají neúspěšná zadání kódu.

    CVE-ID

    CVE-2015-5850 : Anonymní výzkumník

  • Application Store

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Kliknutí na škodlivý odkaz ITMS může vést k odmítnutí služeb v aplikaci podepsané podnikem.

    Popis: Existoval problém s instalací přes odkazy typu ITMS. Problém byl vyřešen dodatečným ověřováním instalace.

    CVE-ID

    CVE-2015-5856 : Zhaofeng Chen, Hui Xue a Tao (Lenx) Wei ze společnosti FireEye, Inc.

  • Zvuk

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Přehrání škodlivého zvukového souboru může vést k nečekanému ukončení aplikace.

    Popis: Ve zpracovávání zvukových souborů existoval problém s poškozením paměti. Problém byl vyřešen vylepšením správy paměti.

    CVE-ID

    CVE-2015-5862 : YoungJin Yoon z týmu Information Security Lab. (konzultace: prof. Taekyoung Kwon), Yonsei University, Soul, Korea

  • Zásady důvěryhodnosti certifikátů

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Aktualizace zásad důvěryhodnosti certifikátů.

    Popis: Byly aktualizovány zásady důvěryhodnosti certifikátů. Kompletní seznam certifikátů si můžete prohlédnout v tomto článku.

  • CFNetwork

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Škodlivá URL adresa může obejít mechanismus HSTS (Strict Transport Security) protokolu HTTP a uvolnit citlivá data.

    Popis: Ve zpracovávání HSTS existovala bezpečnostní slabina při vyhodnocování URL adres. Problém byl vyřešen lepším vyhodnocováním URL adres.

    CVE-ID

    CVE-2015-5858 : Xiaofeng Zheng z týmu Blue Lotus Team, Tsinghua University

  • CFNetwork

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Škodlivý web může sledovat uživatele Safari, kteří mají zapnuté anonymní prohlížení.

    Popis: Existoval problém se zpracováváním stavu HSTS při zapnutém anonymním režimu v Safari. Problém byl vyřešen lepším zpracováváním stavů.

    CVE-ID

    CVE-2015-5860 : Sam Greenhalgh ze společnosti RadicalResearch Ltd

  • CFNetwork

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Osoba s fyzickým přístupem k iOS zařízení může číst data z mezipaměti aplikací Apple.

    Popis: Data mezipaměti byla šifrována klíčem chráněným pouze pomocí UID hardwaru. Problém byl vyřešen zašifrováním dat mezipaměti klíčem, který je chráněn hardwarovým UID i uživatelovým kódem.

    CVE-ID

    CVE-2015-5898 : Andreas Kurtz z NESO Security Labs

  • Cookies frameworku CFNetwork

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Útočník s vysokými oprávněními v síti může sledovat uživatelovu aktivitu.

    Popis: Ve zpracovávání domén první úrovně existoval problém s cookies napříč doménami. Problém byl vyřešen lepšími omezeními vytváření cookies.

    CVE-ID

    CVE-2015-5885 : Xiaofeng Zheng z týmu Blue Lotus Team, Tsinghua University

  • Cookies frameworku CFNetwork

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Útočník může vytvořit cookies, které nebyly pro daný web zamýšleny.

    Popis: WebKit umožňoval nastavit v API document.cookie i více různých cookies. Problém byl vyřešen vylepšením analýzy.

    CVE-ID

    CVE-2015-3801 : Erling Ellingsen ze společnosti Facebook

  • Protokol FTP frameworku CFNetwork

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Škodlivé FTP servery můžou klienta donutit, aby špehoval jiné hostitele.

    Popis: Existoval problém se zpracováváním FTP paketů při používání příkazu PASV. Problém byl vyřešen vylepšením ověřování.

    CVE-ID

    CVE-2015-5912 : Amit Klein

  • Protokol HTTP frameworku CFNetwork

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Útočník s vysokými oprávněními v síti může být schopen zachycovat síťový provoz.

    Popis: V anonymním režimu Safari existoval problém ve zpracovávání položek přednačítaných ze seznamu HSTS. Problém byl vyřešen lepším zpracováváním stavů.

    CVE-ID

    CVE-2015-5859 : Rosario Giustolisi z Lucemburské univerzity

  • Proxy servery frameworku CFNetwork

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Připojení ke škodlivé webové proxy může u webu nastavit škodlivé cookies.

    Popis: Existoval problém ve zpracovávání reakcí na připojení k proxy. Problém byl vyřešen odebráním hlavičky set-cookie při zpracovávání správné reakce.

    CVE-ID

    CVE-2015-5841 : Xiaofeng Zheng z týmu Blue Lotus Team, Tsinghua University

  • SSL frameworku CFNetwork

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Útočník s vysokými oprávněními v síti může zachycovat připojení SSL/TLS.

    Popis: V NSURL existoval problém s ověřováním certifikátů potom, co byl nějaký certifikát změněn. Problém byl vyřešen vylepšením ověřování certifikátů.

    CVE-ID

    CVE-2015-5824 : Timothy J. Wood ze společnosti The Omni Group

  • SSL frameworku CFNetwork

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Útočník může dešifrovat data chráněná protokolem SSL.

    Popis: Ve verzi RC4 existovaly známé útoky na důvěrnost protokolu. Útočník mohl vynutit používání verze RC4, i když server třeba preferoval lepší šifry. Stačilo zablokovat TLS 1.0 a vyšší připojení, dokud framework CFNetwork nevyzkoušel SSL 3.0, které umožňuje jen RC4. Problém byl vyřešen odebráním možnosti návratu na SSL 3.0.

  • CoreAnimation

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Škodlivé aplikaci se může podařit odhalit citlivé uživatelské informace.

    Popis: Aplikace dokázaly získat přístup k framebufferu obrazovky, i když byly na pozadí. Problém byl vyřešen vylepšenou kontrolou přístupu k rozhraní IOSurfaces.

    CVE-ID

    CVE-2015-5880 : Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li z Fakulty informačních systémů Singapurské univerzity managementu, Feng Bao a Jianying Zhou z organizace Cryptography and Security Department Institute ve spolupráci s Infocomm Research

  • CoreCrypto

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Útočník může určit soukromý klíč.

    Popis: Pozorováním mnoha pokusů o podepsání nebo dešifrování mohl útočník rozeznat soukromý klíč RSA. Problém byl vyřešen použitím lepších šifrovacích algoritmů.

  • CoreText

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Zpracování škodlivého souboru písma může vést ke spuštění libovolného kódu.

    Popis: Ve zpracovávání souborů písem existoval problém s poškozením paměti. Problém byl vyřešen vylepšením ověřování vstupů.

    CVE-ID

    CVE-2015-5874 : John Villamil (@day6reak), Yahoo Pentest Team

  • Data Detectors Engine

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Zpracování škodlivého textového souboru může vést ke spuštění libovolného kódu.

    Popis: Ve zpracovávání textových souborů existovaly problémy s poškozením paměti. Problémy byly vyřešeny vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2015-5829 : M1x7e1 z týmu Safeye Team (www.safeye.org)

  • Vývojářské nástroje

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Škodlivá aplikace může spouštět libovolný kód se systémovými oprávněními.

    Popis: V součásti dyld existoval problém s poškozením paměti. Problém byl vyřešen vylepšením správy paměti.

    CVE-ID

    CVE-2015-5876 : beist z týmu grayhash

  • Obrazy disků

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Místnímu uživateli se může podařit spustit libovolný kód se systémovými oprávněními.

    Popis: V součásti DiskImages existoval problém s poškozením paměti. Problém byl vyřešen vylepšením správy paměti.

    CVE-ID

    CVE-2015-5847 : Filippo Bigarella, Luca Todesco

  • dyld

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Aplikace může obejít podepisování kódu.

    Popis: U spustitelných souborů existoval problém s ověřováním podpisů kódu. Problém byl vyřešen vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2015-5839 : @PanguTeam, TaiG Jailbreak Team

  • Game Center

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Škodlivá aplikace pro Game Center může získat přístup k hráčově e-mailové adrese.

    Popis: V Game Center existoval problém ve zpracováváním hráčova e-mailu. Problém byl vyřešen vylepšením omezení přístupu.

    CVE-ID

    CVE-2015-5855 : Nasser Alnasser

  • ICU

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Několik bezpečnostních slabin v softwaru ICU.

    Popis: Software ICU obsahoval ve verzích před 53.1.0 několik bezpečnostních slabin. Ty byly vyřešeny aktualizací ICU na verzi 55.1.

    CVE-ID

    CVE-2014-8146 : Marc Deslauriers

    CVE-2014-8147 : Marc Deslauriers

    CVE-2015-5922 : Mark Brand z týmu Google Project Zero

  • IOAcceleratorFamily

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Škodlivá aplikace může být schopna rozpoznat rozvržení paměti jádra.

    Popis: Existoval problém, který vedl k odhalení obsahu paměti jádra. Problém byl vyřešen vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2015-5834 : Cererdlong z týmu Alibaba Mobile Security

  • IOAcceleratorFamily

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Místnímu uživateli se může podařit spustit libovolný kód se systémovými oprávněními.

    Popis: V součásti IOAcceleratorFamily existoval problém s poškozením paměti. Problém byl vyřešen vylepšením správy paměti.

    CVE-ID

    CVE-2015-5848: Filippo Bigarella

  • IOHIDFamily

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Škodlivá aplikace může spouštět libovolný kód se systémovými oprávněními.

    Popis: V součásti IOHIDFamily existoval problém s poškozením paměti. Problém byl vyřešen vylepšením správy paměti.

    CVE-ID

    CVE-2015-5867 : moony li z týmu Trend Micro

  • IOKit

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Škodlivá aplikace může spouštět libovolný kód se systémovými oprávněními.

    Popis: V jádru existoval problém s poškozením paměti. Problém byl vyřešen vylepšením správy paměti.

    CVE-ID

    CVE-2015-5844 : Filippo Bigarella

    CVE-2015-5845 : Filippo Bigarella

    CVE-2015-5846 : Filippo Bigarella

  • IOMobileFrameBuffer

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Místnímu uživateli se může podařit spustit libovolný kód se systémovými oprávněními.

    Popis: V součásti IOMobileFrameBuffer existoval problém s poškozením paměti. Problém byl vyřešen vylepšením správy paměti.

    CVE-ID

    CVE-2015-5843 : Filippo Bigarella

  • IOStorageFamily

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Místnímu útočníkovi se může podařit číst paměť jádra.

    Popis: V jádru existoval problém s inicializací paměti. Problém byl vyřešen vylepšením správy paměti.

    CVE-ID

    CVE-2015-5863 : Ilja van Sprundel z týmu IOActive

  • iTunes Store

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Přihlašovací údaje Apple ID můžou zůstat ve svazku klíčů i po odhlášení.

    Popis: Existoval problém s mazáním svazků klíčů. Problém byl vyřešen vylepšením údržby účtu.

    CVE-ID

    CVE-2015-5832 : Kasif Dekel ze společnosti Check Point Software Technologies

  • JavaScriptCore

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Návštěva škodlivého webu může vést ke spuštění libovolného kódu.

    Popis: Ve WebKitu existovaly problémy s poškozením paměti. Tyto problémy byly vyřešeny vylepšením správy paměti.

    CVE-ID

    CVE-2015-5791 : Apple

    CVE-2015-5793 : Apple

    CVE-2015-5814 : Apple

    CVE-2015-5816 : Apple

    CVE-2015-5822 : Mark S. Miller ze společnosti Google

    CVE-2015-5823 : Apple

  • Jádro

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Místnímu uživateli se může podařit spustit libovolný kód s oprávněními k jádru.

    Popis: V jádru existoval problém s poškozením paměti. Problém byl vyřešen vylepšením správy paměti.

    CVE-ID

    CVE-2015-5868 : Cererdlong z týmu Alibaba Mobile Security

    CVE-2015-5896: Maxime Villard (m00nbsd)

    CVE-2015-7118 : Jonathan Zdziarski

    Záznam aktualizován 21. prosince 2016

  • Jádro

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Místní útočník může ovládat hodnotu cookies zásobníku.

    Popis: Existovalo několik problémů v generování cookies zásobníku v rámci uživatelského prostoru. Problém byl vyřešen lepším generováním cookies zásobníku.

    CVE-ID

    CVE-2013-3951 : Stefan Esser

  • Jádro

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Místní proces může i bez kontroly oprávnění modifikovat jiné procesy.

    Popis: Existoval problém, kvůli kterému měly kořenové procesy používající API processor_set_tasks povoleno zjišťovat porty, na jakých operovaly úlohy jiných procesů. Problém byl vyřešen přidáním dalších kontrol oprávnění.

    CVE-ID

    CVE-2015-5882 : Pedro Vilaça na základě původního výzkumu, jehož autory jsou Ming-chieh Pan a Sung-ting Tsai; Jonathan Levin

  • Jádro

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Útočník může zapříčinit útok odmítnutím služby na cílová TCP spojení, aniž by musel znát správné číslo sekvence.

    Popis: V součásti XNU existoval problém s ověřováním hlaviček TCP paketů. Problém byl vyřešen lepším ověřováním hlaviček TCP paketů.

    CVE-ID

    CVE-2015-5879 : Jonathan Looney

  • Jádro

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Útočník v místním segmentu LAN sítě může vypnout přesměrovávání IPv6.

    Popis: Ve zpracovávání oznamovacích signálů IPv6 směrovačů existoval problém s nedostatečným ověřováním, který útočníkovi umožňoval nastavit omezení hopů na libovolnou hodnotu. Problém byl vyřešen vynucením určitého limitu hopů.

    CVE-ID

    CVE-2015-5869 : Dennis Spindel Ljungmark

  • Jádro

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Místnímu uživateli se může podařit zjistit rozvržení paměti jádra.

    Popis: V součásti XNU existoval problém, který vedl ke zveřejnění paměti jádra. Problém byl vyřešen lepší inicializací struktur paměti jádra.

    CVE-ID

    CVE-2015-5842 : beist z týmu grayhash

  • Jádro

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Místnímu uživateli se může podařit způsobit systémové odmítnutí služby.

    Popis: Existoval problém s připojováním HFS jednotek. Problém byl vyřešen přidáním dodatečných kontrol.

    CVE-ID

    CVE-2015-5748 : Maxime Villard z týmu m00nbsd

  • libc

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Vzdálenému útočníkovi se může podařit spustit libovolný kód.

    Popis: Ve funkci fflush existoval problém s poškozením paměti. Problém byl vyřešen vylepšením správy paměti.

    CVE-ID

    CVE-2014-8611 : Adrian Chadd a Alfred Perlstein ze společnosti Norse Corporation

  • libpthread

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Místnímu uživateli se může podařit spustit libovolný kód s oprávněními k jádru.

    Popis: V jádru existoval problém s poškozením paměti. Problém byl vyřešen vylepšením správy paměti.

    CVE-ID

    CVE-2015-5899 : Lufeng Li z týmu Qihoo 360 Vulcan

  • Mail

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Útočník může poslat e-mail, který vypadá, jako by pocházel od nějakého kontaktu z příjemcova adresáře.

    Popis: Existoval problém se zpracováváním adresy odesílatele. Problém byl vyřešen vylepšením ověřování.

    CVE-ID

    CVE-2015-5857 : Emre Saglam ze salesforce.com

  • Multipeer Connectivity

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Místní útočník může pozorovat nechráněná data multipeer.

    Popis: Ve zpracovávání tzv. „convenience“ inicializátorů existoval problém, kvůli kterému bylo možné aktivně degradovat šifrování na nešifrovanou relaci. Problém byl vyřešen nastavením „convenience“ inicializátorů tak, aby vyžadovaly šifrování.

    CVE-ID

    CVE-2015-5851 : Alban Diquet (@nabla_c0d3) z týmu Data Theorem

  • NetworkExtension

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Škodlivá aplikace může být schopna rozpoznat rozvržení paměti jádra.

    Popis: V jádru existoval problém s neinicializovanou pamětí, který vedl ke zveřejnění obsahu paměti jádra. Problém byl vyřešen lepší inicializací paměti.

    CVE-ID

    CVE-2015-5831 : Maxime Villard z týmu m00nbsd

  • OpenSSL

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Několik bezpečnostních slabin v knihovně OpenSSL.

    Popis: Software OpenSSL obsahoval ve verzích před 0.9.8zg několik bezpečnostních slabin. Ty byly vyřešeny aktualizací OpenSSL na verzi 0.9.8zg.

    CVE-ID

    CVE-2015-0286

    CVE-2015-0287

  • PluginKit

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Škodlivé podnikové aplikace můžou instalovat rozšíření ještě předtím, než dostanou důvěru.

    Popis: Existoval problém s ověřováním rozšíření v průběhu instalace. Problém byl vyřešen lepším ověřováním instalace.

    CVE-ID

    CVE-2015-5837 : Zhaofeng Chen, Hui Xue a Tao (Lenx) Wei ze společnosti FireEye, Inc.

  • removefile

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Zpracování škodlivých dat může vést k nečekanému ukončení aplikace.

    Popis: V dělicích rutinách součásti checkint existoval problém s přetečením. Problém byl vyřešen vylepšením dělicích rutin.

    CVE-ID

    CVE-2015-5840 : Anonymní výzkumník

  • Safari

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Místní uživatel může číst záložky Safari na zamčeném iOS zařízení bez zadání kódu.

    Popis: Data záložek Safari byla šifrována klíčem chráněným pouze pomocí UID hardwaru. Problém byl vyřešen zašifrováním záložek Safari klíčem, který je chráněn hardwarovým UID i uživatelovým kódem.

    CVE-ID

    CVE-2015-7118 : Jonathan Zdziarski

    Záznam aktualizován 21. prosince 2016

  • Safari

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Návštěva škodlivého webu může vést ke zfalšování uživatelského rozhraní.

    Popis: Existoval problém, který mohl webům umožnit zobrazovat obsah pomocí URL jiného webu. Problém byl vyřešen vylepšením zpracování URL adres.

    CVE-ID

    CVE-2015-5904 : Erling Ellingsen ze společnosti Facebook, Łukasz Pilorz

  • Safari

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Návštěva škodlivého webu může vést ke zfalšování uživatelského rozhraní.

    Popis: Přechod na škodlivý web pomocí deformované výzvy k otevření okna mohl umožnit zobrazování libovolných URL adres. Problém byl vyřešen lepším zpracováváním výzev k otevření okna.

    CVE-ID

    CVE-2015-5905 : Keita Haga z keitahaga.com

  • Safari

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Uživatel může být přes klientské certifikáty sledován škodlivými weby.

    Popis: Existoval problém v tom, jak Safari během SSL ověřování kontrolovalo shodu s klientským certifikátem. Problém byl vyřešen lepším kontrolováním platných klientských certifikátů.

    CVE-ID

    CVE-2015-1129 : Stefan Kraus z týmu fluid Operations AG, Sylvain Munaut z týmu Whatever s.a.

  • Safari

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Návštěva škodlivého webu může vést ke zfalšování uživatelského rozhraní.

    Popis: Více nekonzistentností v uživatelském rozhraní mohlo škodlivým webům umožnit zobrazování libovolných URL adres. Problémy byly vyřešeny lepší logikou zobrazování URL adres.

    CVE-ID

    CVE-2015-5764 : Antonio Sanso (@asanso) ze společnosti Adobe

    CVE-2015-5765 : Ron Masas

    CVE-2015-5767 : Krystian Kloskowski prostřednictvím společnosti Secunia, Masato Kinugawa

  • Bezpečné prohlížení v Safari

    iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Přechod na IP adresu známého škodlivého webu nemusel aktivovat bezpečnostní upozornění.

    Popis: Funkce bezpečného prohlížení v Safari nevarovala uživatele při návštěvě známých škodlivých webů zadáním IP adresy. Problém byl vyřešen lepší detekcí škodlivých webů.

    Rahul M z týmu TagsDock

  • Zabezpečení

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Škodlivé aplikace můžou zachycovat komunikaci mezi aplikacemi.

    Popis: Existoval problém, který škodlivým aplikacím umožňoval zachycovat URL schéma komunikace mezi aplikacemi. Problém byl zmírněn přidáním dialogu, který se zobrazuje při prvním použití daného URL schématu.

    CVE-ID

    CVE-2015-5835 : Teun van Run ze společnosti FiftyTwoDegreesNorth B.V.; XiaoFeng Wang z Indianské univerzity, Luyi Xing z Indianské univerzity, Tongxin Li z Pekingské univerzity, Tongxin Li z Pekingské univerzity, Xiaolong Bai z univerzity Tsinghua

  • Siri

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Osoba s fyzickým přístupem k iOS zařízení může pomocí Siri číst oznámení o obsahu, který má vypnuté zobrazování na zamčené obrazovce.

    Popis: Když byl Siri dán nějaký požadavek, server neověřoval omezení na straně klienta. Problém byl vyřešen vylepšením kontroly omezení.

    CVE-ID

    CVE-2015-5892 : Robert S Mozayeni, Joshua Donvito

  • Plocha

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Osoba s fyzickým přístupem k iOS zařízení může ze zamčené obrazovky odpovídat na hlasové zprávy, i když je zobrazování náhledu zpráv na zamčené obrazovce vypnuté.

    Popis: Problém se zámkem obrazovky umožňoval uživatelům odpovídat na hlasové zprávy, i když byly náhledy zpráv vypnuté. Tento problém byl vyřešen vylepšením správy stavu.

    CVE-ID

    CVE-2015-5861 : Daniel Miedema ze společnosti Meridian Apps

  • Plocha

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Škodlivá aplikace může falšovat dialogová okna jiné aplikace.

    Popis: Existoval problém s voláními API, která měla vysoká oprávnění. Problém byl vyřešen přidáním dalších omezení.

    CVE-ID

    CVE-2015-5838 : Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei, John C.S. Lui

  • SQLite

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Několik bezpečnostních slabin v softwaru SQLite 3.8.5.

    Popis: Software SQLite obsahoval ve verzi 3.8.5 několik bezpečnostních slabin. Ty byly vyřešeny aktualizací SQLite na verzi 3.8.10.2.

    CVE-ID

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • Tidy

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Návštěva škodlivého webu může vést ke spuštění libovolného kódu.

    Popis: V součásti Tidy existoval problém s poškozením paměti. Problém byl vyřešen vylepšením správy paměti.

    CVE-ID

    CVE-2015-5522 : Fernando Muñoz z NULLGroup.com

    CVE-2015-5523 : Fernando Muñoz z NULLGroup.com

  • WebKit

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: U vlastních událostí, událostí zpráv a událostí vyskakovacích stavů se může stát, že odkazy na objekty budou zveřejněny napříč izolovanými původy.

    Popis: Existoval problém s únikem dat stavů, který porušoval izolační hranice mezi jednotlivými původy. Problém byl vyřešen vylepšením izolace mezi původy.

    CVE-ID

    CVE-2015-5827 : Gildas

  • WebKit

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Návštěva škodlivého webu může vést ke spuštění libovolného kódu.

    Popis: Ve WebKitu existovaly problémy s poškozením paměti. Tyto problémy byly vyřešeny vylepšením správy paměti.

    CVE-ID

    CVE-2015-5789 : Apple

    CVE-2015-5790 : Apple

    CVE-2015-5792 : Apple

    CVE-2015-5794 : Apple

    CVE-2015-5795 : Apple

    CVE-2015-5796 : Apple

    CVE-2015-5797 : Apple

    CVE-2015-5799 : Apple

    CVE-2015-5800 : Apple

    CVE-2015-5801 : Apple

    CVE-2015-5802 : Apple

    CVE-2015-5803 : Apple

    CVE-2015-5804 : Apple

    CVE-2015-5805

    CVE-2015-5806 : Apple

    CVE-2015-5807 : Apple

    CVE-2015-5809 : Apple

    CVE-2015-5810 : Apple

    CVE-2015-5811 : Apple

    CVE-2015-5812 : Apple

    CVE-2015-5813 : Apple

    CVE-2015-5817 : Apple

    CVE-2015-5818 : Apple

    CVE-2015-5819 : Apple

    CVE-2015-5821 : Apple

  • WebKit

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Návštěva nebezpečného webu může vést k nezamýšlenému vytáčení.

    Popis: Existoval problém se zpracováváním URL adres typu tel://, facetime://, a facetime-audio://. Problém byl vyřešen vylepšením zpracování URL adres.

    CVE-ID

    CVE-2015-5820 : Andrei Neculaesei, Guillaume Ross

  • WebKit

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Součást QuickType se může naučit poslední znak hesla zadávaného do webového formuláře.

    Popis: Ve WebKitu existoval problém se zpracováváním kontextu při zadávání hesla. Problém byl vyřešen lepším zpracováváním kontextu.

    CVE-ID

    CVE-2015-5906 : Louis Romero ze společnosti Google Inc.

  • WebKit

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Útočník s vysokými oprávněními v síti může způsobit přesměrování na škodlivou doménu.

    Popis: U webů s neplatnými certifikáty existoval problém se zpracováváním mezipaměti zdrojů. Problém byl vyřešen odmítnutím aplikační mezipaměti u webů s neplatnými certifikáty.

    CVE-ID

    CVE-2015-5907 : Yaoqi Jia z National University of Singapore (NUS)

  • WebKit

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Škodlivý web může získat data napříč původy.

    Popis: Safari umožňovalo načítat napříč původy styly obsahující MIME typy, které nejsou součástí CSS, což se dalo zneužít k vytažení dat napříč původy. Problém byl vyřešen omezením MIME typů u stylů načítaných napříč původy.

    CVE-ID

    CVE-2015-5826 : filedescriptor, Chris Evans

  • WebKit

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Performance API umožňovala škodlivým webům zveřejňovat historii prohlížeče, síťovou aktivitu a pohyby myši.

    Dopad: Součást Performance API ve WebKitu umožňovala škodlivým webům měřit čas a pomocí toho zveřejňovat historii prohlížeče, síťovou aktivitu a pohyby myši. Problém byl vyřešen omezením časového rozlišení.

    CVE-ID

    CVE-2015-5825 : Yossi Oren a kol. z laboratoře Network Security na Columbijské univerzitě.

  • WebKit

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Útočníkovi s vysokými oprávněními v síti se může podařit zveřejnit citlivá data uživatelů.

    Popis: Existoval problém s hlavičkami Content-Disposition obsahujícími typové přílohy. Problém byl vyřešen zakázáním některých funkcí u stránek typových příloh.

    CVE-ID

    CVE-2015-5921 : Mickey Shkatov z týmu Advanced Threat Research společnosti Intel, Daoyuan Wu ze Singapurské univerzity managementu, Rocky K. C. Chang z Hongkongské polytechnické univerzity, Łukasz Pilorz, superhei z www.knownsec.com

  • WebKit Canvas

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Škodlivý web může zveřejnit data obrázků z jiného webu.

    Popis: V obrázcích prvku „canvas“ ve WebKitu existoval problém s únikem dat napříč původy. Problém byl vyřešen vylepšeným sledováním bezpečnostních původů.

    CVE-ID

    CVE-2015-5788 : Apple

  • Načítání stránek ve WebKitu

    K dispozici pro: iPhone 4s a novější, iPod touch (5. generace) a novější, iPad 2 a novější

    Dopad: Protokol WebSocket může obejít vynucování zásad smíšeného obsahu.

    Popis: Kvůli problému s nedostatečným vynucováním zásad mohl protokol WebSocket načítat smíšený obsah. Problém byl vyřešen rozšířením vynucování zásad smíšeného obsahu i na WebSocket.

    Kevin G. Jones ze společnosti Higher Logic

FaceTime není k dispozici ve všech zemích a regionech.

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. S používáním internetu jsou neodmyslitelně spojena rizika. Další informace získáte od výrobce. Názvy jiných společností a produktů mohou být ochrannými známkami příslušných vlastníků.

Datum zveřejnění: